Перейти к содержанию

Срочно! Критический баг в iOS и Mac OS X

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

В минувшую пятницу компания Apple выпустила срочное обновление для iOS версий 6 и 7. По сути, внеочередной апдейт состоял из всего одного фикса, который, впрочем, стоит того, чтобы поторопиться с обновлением. Причем чем скорее, тем лучше.

Уязвимость в SSL/TLS

Как говорится в пояснении, апдейт «устраняет проблему, возникавшую при проверке SSL-подключения». За столь пространной и безобидной формулировкой в действительности стоит довольно серьезная штука: исправляемая ошибка позволяет злоумышленникам, находящимся в одной сети с вами, перехватывать и модифицировать данные сессий, защищенных криптографическими протоколами SSL/TLS. Проще говоря, если вы воспользовались какой-нибудь публичной WiFi-сетью (например, в аэропорту или кафе) для доступа в онлайн-банкинг, сервис Gmail или даже Facebook, находящийся в той же сети злоумышленик при определенной сноровке может «прослушать» отсылаемую с вашего устройства информацию. Причем браузер Safari будет предательски показывать тот самый маленький закрытый замочек, означающий что ваша сессия зашифрована и, стало быть, защищена. Более того, уязвимость актуальна не только для браузера, но и практически любой другой программы. Так что Apple, так поторопившуюся с выпуском обновления, можно понять.

Последние несколько дней многочисленные эксперты ломали головы над природой данной уязвимости и выяснили, что, во-первых, баг был вызван ошибкой программиста (вероятнее всего, тот случайно удалил часть кода), а во-вторых, та же самая ошибка присутствует и в Mac OS X! Соответствующий патч для операционки еще не выпущен, но, учитывая всю серьезность ситуации, ожидать его стоит в самое ближайшее время.

Наши рекомендации:

  • Обновить все имеющиеся у вас iPhone, iPod и iPad с установленной на них iOS 6/7. Причем лучше всего это сделать в доверенной сети, например, дома или на работе;
  • До обновления не использовать с устройства сервисы онлайн-банкинга. Это касается девайсов на базе как iOS, так и Mac OS X. Для последней, впрочем, существуют неофициальные обновления, но их использование может быть рискованно;
  • Если же обновиться по какой-то причине не получается, а воспользоваться, например, банковским онлайн-сервисом нужно, делайте это исключительно в доверенной сети и с применением дополнительных средств: браузера Google Chrome, VPN и надежного антивирусного ПО.


Читать далее >>

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • MASolomko
      [Лицензия] Kaspersky Password Manager (Windows, Mac OS, Android, iOS)
      Автор MASolomko
      В данной теме представлен обзор с подробным описанием подарочной лицензии, которую можно получить из магазина фан-клуба по бонусной программе, на ярмарке проекта «Универ Касперского 2020», за форумное бета-тестирование и т. п.
      .
      Пожалуйста, не обсуждайте в этой теме лицензии других решений защиты.
      .
      .

      KASPERSKY PASSWORD MANAGER
      .
      Мультиплатформенный диспетчер паролей (менеджер паролей), который избавит вас от необходимости придумывать и помнить большое количество паролей.
      . Домашняя страница | Google Play | Mac App Store | iTunes | Страница поддержки
      .
      При использовании «Kaspersky Password Manager» для авторизации на веб-сайте или в программе вы можете быть уверены в безопасности своей личной информации. Пароли, создаваемые при помощи данного диспетчера паролей, устойчивы к попыткам взлома и надёжно защищают данные ваших учётных записей от злоумышленников. Вся конфиденциальная информация хранится в зашифрованном виде в специальном облачном хранилище, что позволяет синхронизировать данные на разных устройствах и всегда пользоваться последней версией базы паролей.
      .
      Просматривать и управлять синхронизированной информацией на облачном хранилище можно и через веб-консоль, которая встроена на портале «My Kaspersky». Данная возможность может быть недоступна для определённых локализаций веб-интерфейса портала.
      .
      .
      Ключевые функции
      Создание надёжных паролей и их безопасное хранение. Автоматизация процесса авторизации и ввода информации на веб-страницах и в программах. Автоматическую синхронизацию и подстановку на всех устройствах, работающих на платформах Windows®, Mac OS, Android™ и iOS. .
      Особенности предоставляемых лицензий
      .
      Продукт «Kaspersky Password Manager 8.0» предлагается в двух версиях: бесплатная и премиум.
      .
      Бесплатная имеет следующие ограничения: только 15 учётных записей и 1 запись личных данных будут активными и актуальными на всех устройствах, остальные записи не будут синхронизироваться.
      Электронные лицензии для премиум-версии распространяются с отметкой «не для продажи» (NFR) и без права продления со скидкой после её окончания, но с возможностью получения поддержки по используемому продукту.
      .
      Электронные лицензии для продукта «Kaspersky Password Manager 5.0» (Windows) распространялись с отметкой «не для продажи» (NFR), но с возможностью получения поддержки по используемому продукту и перехода на новые версии в течении 1 года с момента её активации.
      .
      Может быть предоставлена лицензия, которая предназначена для распространения на территории Российской Федерации.
      .
      .
      Доступные лицензии для приобретения:
      Kaspersky Password Manager 8.0 — 1/3 учётных записей, 1 год. "Фотографии и скриншоты":
       
    • Макар мухаметсабиров
      Необходима срочная помощь
      Автор Макар мухаметсабиров
    • KL FC Bot
      Срочно обновите PyTorch | Блог Касперского
      Автор KL FC Bot
      Исследователь обнаружил уязвимость в PyTorch, фреймворке машинного обучения с открытым исходным кодом. Уязвимость, зарегистрированная под номером CVE-2025-32434, относится к классу Remote Code Execution (RCE) и имеет рейтинг 9,3 по шкале CVSS, то есть категорируется как критическая. Эксплуатация CVE-2025-32434 при определенных условиях позволяет злоумышленнику запускать на компьютере жертвы, скачивающей ИИ-модель произвольный код. Всем, кто использует PyTorch для работы с нейросетями, рекомендуется как можно скорее обновить фреймворк до последней версии.
      Суть уязвимости CVE-2025-32434
      Фреймворк PyTorch, помимо всего прочего, позволяет сохранять уже обученные модели в файл, который хранит веса связей. И, разумеется, загружать их при помощи функции torch.load(). Обученные модели часто выкладываются в общий доступ через разнообразные публичные репозитории и теоретически в них могут быть вредоносные закладки. Поэтому официальная документация проекта в целях безопасности рекомендует использовать функцию torch.load() с параметром weights_only=True (в таком случае загружаются только примитивные типы данных: словари, тензоры, списки, и так далее).
      Уязвимость CVE-2025-32434 заключается в некорректно реализованном механизме десериализации при загрузке модели. Обнаруживший ее исследователь продемонстрировал, что атакующий может создать файл модели таким способом, что параметр weights_only=True приведет к прямо противоположному эффекту — при загрузке будет выполнен произвольный код, способный скомпрометировать среду, в котором запускается модель.
       
      View the full article
    • Mher
      IOS устройства не видно в дерево консоли
      Автор Mher
      Здравствуете!
      У меня такое проблема когда добавлю IOS устройства через создании профиле устройства добавляет в разделе Управление Мобильными устройствами -> Мобильные устройства но не появляется больше не где по этому не получается внедрить политику. Например андроид устройства сразу автоматически появляются в управляемые устройства -> MOBILE PHONE разделе. Для информации могу добавить что KSC и IOS MDM Server установление на одном и том же хосте.

      Заранее спасибо всем за реагирование.
    • KL FC Bot
      Срочно обновите Microsoft SharePoint | Блог Касперского
      Автор KL FC Bot
      Неизвестные злоумышленники активно атакуют серверы организаций, на которых установлены SharePoint Server 2016, SharePoint Server 2019 и SharePoint Server Subscription Edition. Благодаря эксплуатации цепочки из двух уязвимостей — CVE-2025-53770 (рейтинг CVSS — 9.8) и CVE-2025-53771 (рейтинг CVSS — 6,3), атакующие получают возможность запустить на сервере вредоносный код. Об опасности ситуации говорит тот факт, что патчи для уязвимостей были выпущены Microsoft поздно вечером в воскресенье. Для защиты инфраструктуры исследователи рекомендуют как можно скорее установить обновления.
      Суть атаки через CVE-2025-53770 и CVE-2025-53771
      Эксплуатация этой пары уязвимостей позволяет неаутентифицированным атакующим захватить контроль над серверами SharePoint, а следовательно, не только получить доступ ко всей хранящейся на них информации, но и использовать серверы для развития атаки на остальную инфраструктуру.
      Исследователи из EYE Security утверждают, что еще до публикации бюллетеней от Microsoft видели две волны атак при помощи этой цепочки уязвимостей, в результате которых были скомпрометированы десятки серверов. Атакующие устанавливают на уязвимые серверы SharePoint веб-шеллы, а также похищают криптографические ключи, которые позднее могут позволить им выдавать себя за легитимные сервисы или пользователей. Благодаря этому они смогут получить доступ к скомпрометированным серверам даже после того, как уязвимость будет закрыта, а зловреды уничтожены.
       
      View the full article
×
×
  • Создать...